Glossar

Glossar: Cybersicherheit, Compliance und Krisenübung

Von SecDrills-Redaktion
56 Begriffe rund um NIS2, DORA, ISO 27001, TISAX, Business Continuity, Incident Response und Übungsmethodik – kompakt definiert, mit Primärquelle und, wo vorhanden, Verweis auf die ausführliche Seite.

NIS2 & KRITIS

NIS2-Richtlinie

Die NIS2-Richtlinie (EU) 2022/2555 ist der EU-weite Rechtsrahmen für Cybersicherheit. Sie erweitert den Kreis regulierter Sektoren und verschärft die Pflichten zu Risikomanagement, Meldung und Governance.

Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555 · → Ausführlich

NIS2UmsuCG

Das NIS2-Umsetzungsgesetz (BGBl. 2025 I Nr. 301) ist das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie, in Kraft seit 6. Dezember 2025. Kernstück ist das neu gefasste BSI-Gesetz mit Registrierungs-, Risikomanagement-, Melde- und Geschäftsleitungspflichten.

Auch: NIS2-Umsetzungsgesetz. Stand: 07/2026 · Quelle: BGBl. 2025 I Nr. 301

NISG 2026

Das NISG 2026 (BGBl. I Nr. 94/2025) setzt die NIS2-Richtlinie in Österreich um und tritt am 1. Oktober 2026 in Kraft. Es regelt Registrierung, Risikomanagement, Selbstdeklaration, Meldepflichten und Strafen für wesentliche und wichtige Einrichtungen.

Auch: Netz- und Informationssystemsicherheitsgesetz 2026. Stand: 07/2026 · Quelle: RIS: BGBl. I Nr. 94/2025 · → Ausführlich

Besonders wichtige Einrichtung

Eine besonders wichtige Einrichtung ist die höchste NIS2-Kategorie – große Unternehmen in hochkritischen Sektoren. Sie unterliegt proaktiver Aufsicht und dem höchsten Bußgeldrahmen.

Auch: wesentliche Einrichtung. Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555

Wichtige Einrichtung

Eine wichtige Einrichtung ist die zweite NIS2-Kategorie, meist mittelgroße Unternehmen oder Einrichtungen in sonstigen kritischen Sektoren. Sie unterliegt reaktiver Aufsicht und einem niedrigeren Bußgeldrahmen.

Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555

NIS2-Betroffenheit

Die NIS2-Betroffenheit ergibt sich aus zwei Kriterien: Tätigkeit in einem erfassten Sektor und Überschreiten der Größenschwellen (in der Regel ab 50 Beschäftigten oder 10 Mio. € Umsatz).

Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555 · → Ausführlich

Size-cap-Regel

Die Size-cap-Regel knüpft die NIS2-Betroffenheit grundsätzlich an die Unternehmensgröße: Erst ab mittlerer Größe greift die Richtlinie – mit Ausnahmen für größenunabhängig erfasste Einrichtungen.

Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555

Meldekette (24h/72h/1M)

Die NIS2-Meldekette staffelt die Vorfallmeldung: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen eines Monats nach Kenntnis eines erheblichen Vorfalls.

Auch: Meldepflicht, Art. 23. Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555

NIS2-Registrierung

Betroffene Einrichtungen müssen sich bei der zuständigen Behörde – in Deutschland dem BSI – registrieren und Stammdaten wie Sektor, Kontaktstelle und erbrachte Dienste bereitstellen.

Stand: 07/2026 · Quelle: BSI: NIS-2 · → Ausführlich

Geschäftsleitungspflicht

NIS2 nimmt die Leitungsorgane in die Pflicht: Sie müssen die Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und geschult werden – mit persönlicher Verantwortlichkeit bei Verstößen.

Auch: Art. 20. Stand: 07/2026 · Quelle: EUR-Lex: RL (EU) 2022/2555

KRITIS

KRITIS bezeichnet Anlagen von hoher Versorgungsrelevanz, deren Betreiber nach deutschem Recht besondere Sicherheits- und Nachweispflichten gegenüber dem BSI erfüllen müssen.

Auch: Kritische Infrastrukturen. Stand: 07/2026 · Quelle: BSI: NIS-2 · → Ausführlich

Zuständige Behörde

Die zuständige Behörde überwacht die Einhaltung von NIS2 und nimmt Vorfallmeldungen entgegen. In Deutschland ist dafür in weiten Teilen das BSI verantwortlich.

Stand: 07/2026 · Quelle: BSI: NIS-2

DORA

DORA-Verordnung

DORA (Verordnung (EU) 2022/2554) schafft einen einheitlichen Rahmen für die digitale operationale Resilienz des EU-Finanzsektors und gilt seit dem 17. Januar 2025 unmittelbar.

Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554 · → Ausführlich

IKT-Risiko

IKT-Risiko ist das Risiko von Störungen der Informations- und Kommunikationstechnik, etwa durch Ausfälle oder Cyberangriffe. DORA verlangt einen dokumentierten Rahmen zu seiner Steuerung.

Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554

IKT-Drittdienstleister

Ein IKT-Drittdienstleister erbringt IT-Dienste (z. B. Cloud) für Finanzunternehmen. DORA regelt solche Auslagerungen streng; als kritisch eingestufte Anbieter unterliegen einer direkten EU-Aufsicht.

Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554

TLPT

Threat-Led Penetration Testing sind bedrohungsorientierte Penetrationstests an produktiven, kritischen Systemen. DORA verlangt sie für bedeutende Institute in der Regel mindestens alle drei Jahre.

Auch: Threat-Led Penetration Testing. Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554 · → Ausführlich

TIBER-EU

TIBER-EU ist der von der Europäischen Zentralbank entwickelte Rahmen für bedrohungsgeleitete Red-Team-Tests. Er dient als methodische Grundlage für das TLPT unter DORA.

Stand: 07/2026 · Quelle: ECB: TIBER-EU

Digitale operationelle Resilienz

Digitale operationale Resilienz ist die Fähigkeit eines Finanzunternehmens, IKT-Störungen nicht nur abzuwehren, sondern durchzuhalten und sich davon zu erholen – das Kernziel von DORA.

Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554

Schwerwiegender IKT-Vorfall

Ein schwerwiegender IKT-Vorfall ist eine Störung mit erheblichen negativen Auswirkungen auf kritische Funktionen eines Finanzunternehmens. DORA verlangt seine gestaffelte Meldung an die zuständige Behörde.

Stand: 07/2026 · Quelle: EUR-Lex: VO (EU) 2022/2554

ISO 27001 & TISAX

ISMS

Ein Informationssicherheits-Managementsystem ist der systematische Rahmen aus Leitlinien, Prozessen und Kontrollen zur Steuerung der Informationssicherheit – zertifizierbar nach ISO/IEC 27001.

Auch: Informationssicherheits-Managementsystem. Stand: 07/2026 · Quelle: ISO/IEC 27001

Statement of Applicability

Das Statement of Applicability (SoA) dokumentiert, welche Annex-A-Controls der ISO 27001 anwendbar sind, wie sie umgesetzt werden, und begründet etwaige Ausschlüsse.

Auch: SoA, Erklärung zur Anwendbarkeit. Stand: 07/2026 · Quelle: ISO/IEC 27001

Annex-A-Controls

Annex A der ISO/IEC 27001:2022 listet 93 Sicherheitscontrols in vier Themen – organisatorisch, personell, physisch und technologisch –, aus denen Organisationen risikobasiert auswählen.

Stand: 07/2026 · Quelle: ISO/IEC 27001

Risikobehandlung

Die Risikobehandlung wählt für jedes identifizierte Informationssicherheitsrisiko eine Option: reduzieren, akzeptieren, vermeiden oder übertragen – ein Kernschritt des ISMS-Risikomanagements nach ISO 27001.

Stand: 07/2026 · Quelle: ISO/IEC 27001

TISAX

TISAX (Trusted Information Security Assessment Exchange) ist der Prüf- und Austauschmechanismus der Automobilindustrie für Informationssicherheit, betrieben von der ENX Association auf Basis des VDA-ISA.

Stand: 07/2026 · Quelle: ENX: TISAX · → Ausführlich

VDA ISA

Der VDA-ISA (Information Security Assessment) ist der Prüfkatalog des Verbands der Automobilindustrie, auf dem TISAX-Assessments beruhen. Er basiert auf ISO 27001 mit branchenspezifischen Ergänzungen.

Stand: 07/2026 · Quelle: ENX: TISAX

TISAX Assessment Level

Das TISAX Assessment Level (AL1–AL3) bestimmt die Prüftiefe nach Schutzbedarf: AL1 Selbstauskunft, AL2 mit Plausibilisierung, AL3 mit Vor-Ort-Audit für streng vertrauliche Informationen.

Auch: AL1, AL2, AL3. Stand: 07/2026 · Quelle: ENX: TISAX

BCM & Wiederanlauf

BCM

Business Continuity Management ist der Managementprozess, der kritische Prozesse identifiziert und absichert, damit eine Organisation Störungen übersteht und definierte Wiederanlaufzeiten einhält.

Auch: Business Continuity Management. Stand: 07/2026 · Quelle: BSI-Standard 200-4 · → Ausführlich

BIA

Die Business Impact Analyse untersucht, welche Prozesse kritisch sind und welche Folgen ihr Ausfall über die Zeit hat. Sie liefert die Kennzahlen MTPD, RTO und RPO.

Auch: Business Impact Analyse. Stand: 07/2026 · Quelle: NIST SP 800-34 Rev. 1 · → Ausführlich

RTO

Das Recovery Time Objective ist die Zielzeit, bis ein Prozess nach einer Störung wieder laufen muss. Es blickt vom Störungszeitpunkt nach vorn und muss unter dem MTPD liegen.

Auch: Recovery Time Objective. Stand: 07/2026 · Quelle: NIST SP 800-34 Rev. 1 · → Ausführlich

RPO

Das Recovery Point Objective ist der maximal tolerierbare Datenverlust, gemessen als Zeitraum vor der Störung. Es bestimmt die nötige Backup- und Replikationsfrequenz.

Auch: Recovery Point Objective. Stand: 07/2026 · Quelle: NIST SP 800-34 Rev. 1 · → Ausführlich

MTPD

Die Maximum Tolerable Period of Disruption ist die maximal tolerierbare Ausfalldauer eines Prozesses, ab der der Schaden existenzbedrohend wird. Das RTO muss darunter liegen.

Auch: MTA, maximal tolerierbare Ausfalldauer. Stand: 07/2026 · Quelle: ISO 22301

Notfallplan

Ein Notfallplan (Business Continuity Plan) beschreibt konkret, wie der Betrieb bei einer Störung aufrechterhalten und wiederangefahren wird – inklusive Rollen, Sofortmaßnahmen und Wiederanlaufschritten.

Auch: BCP, Business Continuity Plan. Stand: 07/2026 · Quelle: BSI-Standard 200-4

Wiederanlauf

Wiederanlauf bezeichnet die geordnete Wiederherstellung eines gestörten Prozesses oder Systems bis zum Normalbetrieb – gesteuert über Prioritäten, RTO und definierte Wiederanlaufpläne.

Stand: 07/2026 · Quelle: BSI-Standard 200-4

ISO 22301

ISO 22301 ist der internationale, zertifizierbare Standard für Business-Continuity-Managementsysteme. Er fordert BIA, Continuity-Strategie, Notfallpläne und ein regelmäßiges Übungsprogramm.

Stand: 07/2026 · Quelle: ISO 22301 · → Ausführlich

BSI-Standard 200-4

Der BSI-Standard 200-4 ist der deutsche Praxisleitfaden für den Aufbau eines Business Continuity Managements – ein stufenweises Modell und Nachfolger des BSI-Standards 100-4.

Stand: 07/2026 · Quelle: BSI-Standard 200-4

Notbetrieb

Notbetrieb ist der reduzierte Betriebsmodus, in dem nur die kritischsten Leistungen auf einem Mindestniveau (MBCO) erbracht werden, bis der Normalbetrieb wiederhergestellt ist.

Auch: MBCO. Stand: 07/2026 · Quelle: BSI-Standard 200-4

Incident Response

Incident Response

Incident Response ist der strukturierte Umgang mit Sicherheitsvorfällen: erkennen, eindämmen, beseitigen und nachbereiten – meist entlang des Lebenszyklus der NIST SP 800-61.

Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

IR-Plan

Ein Incident-Response-Plan ist der dokumentierte Handlungsrahmen für Sicherheitsvorfälle: Rollen, Eskalation, Kommunikation, Meldepflichten und szenariospezifische Playbooks.

Auch: Incident-Response-Plan. Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3 · → Ausführlich

Runbook

Ein Runbook ist eine detaillierte, schrittweise Handlungsanweisung für eine wiederkehrende technische Aufgabe – im Incident-Kontext etwa das kontrollierte Isolieren eines kompromittierten Systems.

Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

Playbook

Ein Playbook bündelt die Reaktionsschritte für ein bestimmtes Vorfallszenario (z. B. Ransomware, Datenleck): Erkennungssignale, Sofortmaßnahmen, Eindämmung, Wiederherstellung und Meldepflichten.

Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

Eskalationsmatrix

Eine Eskalationsmatrix legt fest, ab welchem Schweregrad ein Vorfall an wen eskaliert wird – mit Ansprechpartnern, Erreichbarkeiten und Reaktionszeiten rund um die Uhr.

Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

Krisenstab

Der Krisenstab ist das temporäre Führungsgremium, das bei einer schweren Störung Entscheidungen bündelt, Maßnahmen steuert und die interne wie externe Kommunikation verantwortet.

Stand: 07/2026 · Quelle: BSI-Standard 200-4

CSIRT

Ein CSIRT (Computer Security Incident Response Team) ist das Team, das Sicherheitsvorfälle bearbeitet – von der Analyse über die Eindämmung bis zur Nachbereitung.

Auch: CERT. Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

SOC

Ein Security Operations Center überwacht Sicherheitsereignisse rund um die Uhr, analysiert sie und übergibt bestätigte Vorfälle an die Incident Response.

Auch: Security Operations Center. Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

NIST-IR-Lebenszyklus

Der NIST-Incident-Response-Lebenszyklus (SP 800-61) gliedert die Reaktion in vier Phasen: Vorbereitung; Erkennung & Analyse; Eindämmung, Beseitigung & Wiederherstellung; sowie Nachbereitung.

Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

Lessons Learned

Lessons Learned sind die aufbereiteten Erkenntnisse aus einem Vorfall oder einer Übung, die in Prozesse, Pläne und Schulungen zurückfließen – meist Ergebnis eines After-Action Reviews.

Stand: 07/2026 · Quelle: NIST SP 800-61 Rev. 3

Tabletop- & Übungsmethodik

Tabletop Exercise

Eine Tabletop Exercise ist eine diskussionsbasierte Übung, in der ein Team ein realistisches Krisenszenario am Tisch durchspielt, Entscheidungen trifft und Abläufe wie die Meldekette erprobt.

Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich

Cyber-Krisenübung

Eine Cyber-Krisenübung trainiert die Reaktion auf einen schweren Cybervorfall über den technischen Rahmen hinaus – inklusive Führung, Krisenstab, Kommunikation und Entscheidungsfindung unter Druck.

Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich

MSEL

Die Master Scenario Events List ist das Drehbuch einer Übung: die zeitlich geordnete Liste der Ereignisse und Injects mit erwarteter Reaktion, an der die Leistung gemessen wird.

Auch: Master Scenario Events List. Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich

Inject

Ein Inject ist ein während einer Übung eingespielter Reiz – eine Meldung, Nachricht oder Lageänderung –, der eine Reaktion des Teams auslöst und die Szenariodynamik vorantreibt.

Stand: 07/2026 · Quelle: NIST SP 800-84

AAR

Ein After-Action Review ist die strukturierte Auswertung nach Übung oder Vorfall entlang vier Leitfragen: Was sollte passieren, was geschah tatsächlich, warum, und was verbessern wir?

Auch: After-Action Review. Stand: 07/2026 · Quelle: NIST SP 800-84 · → Ausführlich

Facilitator

Der Facilitator moderiert eine Tabletop-Übung: Er spielt Injects ein, hält das Szenario in Fluss, stellt Leitfragen und sorgt für eine wertfreie Auswertung.

Auch: Übungsleiter. Stand: 07/2026 · Quelle: NIST SP 800-84

Übungsziel

Ein Übungsziel legt fest, welche Fähigkeit eine Übung prüfen soll – etwa die Meldekette oder die Entscheidungsfindung im Krisenstab. Klare Ziele machen den Übungserfolg messbar.

Stand: 07/2026 · Quelle: NIST SP 800-84

ENISA Exercise Methodology

Die ENISA Cybersecurity Exercise Methodology ist der Methodenrahmen der EU-Cybersicherheitsagentur für Planung, Durchführung und Auswertung von Cyberübungen.

Stand: 07/2026

ECSF

Das European Cybersecurity Skills Framework der ENISA beschreibt zwölf typische Cybersicherheits-Rollen mit Aufgaben und Kompetenzen – nützlich zur Rollenverteilung in Übungen.

Auch: European Cybersecurity Skills Framework. Stand: 07/2026

Hotwash

Ein Hotwash ist die kurze, unmittelbare Nachbesprechung direkt nach einer Übung, solange die Eindrücke frisch sind – die schnelle Vorstufe zum ausführlichen After-Action Review.

Stand: 07/2026 · Quelle: NIST SP 800-84

Vom Begriff zur geübten Praxis

Begriffe kennen ist der erste Schritt. Prüfen Sie in zwei Minuten, wie übungsreif Ihre Organisation wirklich ist.

Übungsreife-Check starten